Pontos de aplicativo de filtro de firewall stateless
Depois de definir o filtro de firewall, você deve aplicá-lo a um ponto de aplicativo. Esses pontos de aplicativo incluem interfaces lógicas, interfaces físicas, interfaces de roteamento e instâncias de roteamento.
Na maioria dos casos, você pode aplicar um filtro de firewall como um filtro de entrada ou um filtro de saída , ou ambos ao mesmo tempo. Os filtros de entrada tomam medidas sobre os pacotes que estão sendo recebidos na interface especificada, enquanto os filtros de saída tomam medidas em pacotes que são transmitidos pela interface especificada.
Normalmente, você aplica um filtro com vários termos em uma única interface lógica, para tráfego de entrada, tráfego de saída ou ambos. No entanto, há momentos em que você pode querer acorrentar vários filtros de firewall (com termos únicos ou múltiplos) e aplicá-los a uma interface. Você usa uma lista de entrada para aplicar vários filtros de firewall ao tráfego de entrada em uma interface. Você usa uma lista de saída para aplicar vários filtros de firewall ao tráfego de saída em uma interface. Você pode incluir até 16 filtros em uma lista de entrada ou uma lista de saída.
Não há limite para o número de filtros e contadores que você pode definir, mas existem algumas considerações práticas. Mais contadores exigem mais termos, e um grande número de termos pode levar muito tempo para ser processado durante uma operação de compromisso. No entanto, filtros com mais de 4000 termos e contadores foram implementados com sucesso.
Tabela 1 descreve cada ponto ao qual você pode aplicar um filtro de firewall. Para cada ponto de aplicativo, a tabela descreve os tipos de filtros de firewall suportados naquele ponto, o nível de hierarquia do roteador (ou switch) no qual o filtro pode ser aplicado e quaisquer limitações específicas da plataforma.
Tipo de filtro |
Ponto de aplicativo |
Restrições |
|---|---|---|
Filtro de firewall stateless Configure incluindo a declaração do nível de hierarquia: filter filter-name; Nota:
Se você não incluir a declaração, o filtro de firewall processa o tráfego IPv4 por padrão. |
Interface lógica Aplique no nível de hierarquia, incluindo as declarações ou as declarações: filter {
input filter-name;
output filter-name;
}
Nota:
Um filtro configurado com a família de protocolo implícito não pode ser incluído em uma lista de filtros de entrada ou em uma lista de filtros de saída. Nota:
No T4000 Tipo 5 FPCs, um filtro anexado no ponto de aplicação de Camada 2 (ou seja, no nível de interface lógica) é incapaz de combinar com a classe de encaminhamento de um pacote que é definido por um classificador de Camada 3, como DSCP, DSCP V6 e . |
Com suporte para os seguintes roteadores:
Também é compatível com os seguintes Concentradores modulares de portas (MPCs) em roteadores da Série MX:
|
Filtro de firewall stateless Configure no nível de hierarquia, incluindo a seguinte declaração: filter filter-name; Pode ser qualquer uma das seguintes famílias de protocolo:
|
Família de protocolo em uma interface lógica Aplique-se no nível de hierarquia, incluindo a , , ou declarações: filter {
input filter-name;
input-list [ filter-names ];
output filter-name;
output-list [ filter-names ];
}
|
A família de protocolo é apoiada apenas em roteadores da Série MX. |
Filtro de firewall stateless |
Interface de loopback do Mecanismo de Roteamento |
|
Filtro de serviço Configure no nível de hierarquia, incluindo a seguinte declaração: service-filter service-filter-name; |
Família ou em uma interface lógica Aplique no nível de hierarquia usando a declaração para aplicar um filtro de serviço como um filtro de entrada ou saída a um conjunto de serviços: service { input { service-set service-set-name service-filter filter-name; } output { service-set service-set-name service-filter filter-name; } } Configure um conjunto de serviços no nível de hierarquia, incluindo a seguinte declaração: |
Suporte apenas para PICs de serviços adaptativos (AS) e multisserviços (MS). |
Filtro de pós-serviço Configure no nível de hierarquia, incluindo a seguinte declaração: service-filter service-filter-name; |
Família ou em uma interface lógica Aplique no nível de hierarquia ao incluir a declaração para aplicar um filtro de serviço como filtro de entrada: service { input { post-service-filter filter-name; } } |
Um filtro pós-serviço é aplicado ao retorno do tráfego à interface de serviços após o processamento do serviço. O filtro só é aplicado se um conjunto de serviços estiver configurado e selecionado. |
Filtro simples Configure no nível de hierarquia, incluindo a seguinte declaração: simple-filter filter-name |
Família em uma interface lógica Aplique no nível de hierarquia, incluindo a seguinte declaração: simple-filter simple-filter-name; |
Filtros simples só podem ser aplicados como filtros de entrada. Somente nas seguintes plataformas:
|
Filtro de verificação de encaminhamento reverso de pacotes (RPF) Configurado no nível de hierarquia, incluindo a seguinte declaração: filter filter-name; |
Família ou em uma interface lógica Aplique no nível de hierarquia, incluindo a seguinte declaração: rpf-check fail-filter filter-name para aplicar o filtro de firewall sem estado como um filtro de verificação de RPF. rpf-check {
fail-filter filter-name;
mode loose;
}
|
Suportado apenas em roteadores da Série MX e switches da Série EX. |